Dans les environnements Microsoft, la mise en oeuvre de l’annuaire Active Directory représente le socle de la stratégie d’authentification au sein de l’entreprise, sans Active Directory, il n’y a pas de gestion centralisée de la politique de mot de passe.
Au travers d’Active Directory, la politique
La politique des mots de passe dans Active Directory
de mot de passe se base principalement sur quatre éléments :
• Complexité du mot de passe
• Age maximum du mot de passe
• Age minimum du mot de passe
• Historisation des mots de passe
La politique de mot de passe de l’organisation se définit au sein d’une stratégie de groupe liée au niveau du domaine, traditionnellement la stratégie de groupe nommée « Default Domain Policy » contiendra cette politique. Cette stratégie de groupe est créée automatiquement lors de la création du domaine. (voir Figure 1) Il est à noter que la politique de mot de passe ne se définit qu’au niveau du domaine, toutes les stratégies de groupe contenant des paramètres sur la politique de mot de passe positionnées au niveau des sites ou des unités d’organisations sont totalement inutiles et n’ont aucun effet sur les paramètres de sécurité portés vers les utilisateurs du réseau.
En termes de design Active Directory, cette unité des caractéristiques de sécurité du mot de passe, affecte considérablement les choix d’implémentation. Si une organisation désire utiliser des politiques de mots de passe différentes en fonction de certaines filiales par exemple, elle devra obligatoirement créer autant de domaines que de politiques différentes au sein de la forêt.
Concernant l’exploitation, les exigences de complexité définies par la stratégie de groupe sont appliquées quand les mots de passe sont modifiés ou créés : la modification de la stratégie n’est pas « dynamique » – il ne suffit donc pas de modifier la stratégie pour que les nouveaux standards de complexité s’appliquent aux utilisateurs ; cette latence inhérente au rythme naturel des changements de mots de passe de la part des utilisateurs est à prendre en considération lors des évolutions de politique.
A noter que l’éditeur de solutions pour Active Directory specopssoft.com propose un logiciel permettant de gérer plusieurs politiques de mot de passe au sein d’un même domaine Windows 2000 ou 2003. De plus, cette limitation fonctionnelle sera éliminée avec l’arrivée de Windows Server 2008 qui proposera en standard une fonction permettant de rendre granulaire la politique de mot de passe au sein d’un domaine Windows 2008.
Téléchargez cette ressource
Rapport Forrester sur les services de réponse aux incidents de cybersécurité
Dans ce rapport, basé sur 25 critères, Forrester Consulting passe au crible les 14 principaux fournisseurs de services de réponse aux incidents de cybersécurité du marché. Cette analyse complète permet aux professionnels de la sécurité et de la gestion des risques d’évaluer et de sélectionner les solutions les plus adaptées à leurs besoins.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- 90 % des responsables IT et sécurité signalent une cyberattaque en 2024
- Mauvaise préparation des données : obstacle N°1 à la mise en œuvre de l’IA
- Le défi de NIS 2 pour les petites et moyennes entreprises
- L’IA pour optimiser la rentabilité des entreprises industrielles
- Des dirigeants augmentés à l’ère de l’IA
